关于nis2011的防护机制{主贴10.24 0点已更新}

atg

回复 175楼 小林制药 的帖子

"多重嵌套式防御组件这样的设计在任何一个环节上如果出现问题都可以对危害进行回滚" 这我真不了解，开始也没人提到·····
“有经验的都知道——防护好”，查杀低你指的查杀低是指静态扫描还是加上了sonar？
我觉得，中了毒 然后可能多重嵌套式防御组件发现了，进行回滚，不会对所有病毒修改过的地方回滚的那么彻底吧，比如病毒把系统文件替换掉了，如何回滚？那么多少会对系统有一定影响。

我没说有人蓄意要喷我，喷我的都是那些自以为很nb的低手或者真的很nb的高手，我觉得你应该是高手······所有不在乎被喷，能学到东西就值了

但是我没有唯查杀论，我一直讲的是防护，但是一直没人告诉我诺顿具体的防护原理，于是我只能把诺顿sonar的拦截作为一个体现本地防护强弱的标准。
我也没有把自己的观点强行推给别人，只是想让真正懂的人告诉我诺顿具体防护好在哪，但是开始一直没人具体讲。如果你看到我的帖子觉得我是在强行说服别人，那么除了我的措辞问题，是不是还可能是阁下的心态问题？

atg

回复 179楼 wjcharles 的帖子

晕啊，sonar成绩到底包括 扫描成绩吗·······如果不包括 那我对它成绩就相当满意了，如果包括，那就只有60%-70%还是有点差强人意的····

atg

回复 180楼 asusandy111 的帖子

谢谢你这么详细的解答，还想问下，那如果是下到了伪装的木马自己双击运行了 或者U盘病毒自动运行（对U盘病毒不了解，不知道现在是不是只有自动运行这一种传播方式），那ips就没用了，这时就要靠组件联动了是不？ 还有一个疑问就是如果一个木马我自己双击运行过了sonar，在后期运行过程中，再被sonar发现的可能性大吗？然后我就是担心就是后期发现了，回滚也不彻底·······

atg

回复 131楼 jefffire 的帖子

小f，你做的sonar拦截测试，sonar的侦测比包括了扫描的成绩吗？特征码44        启发6        样本总数80         特征码侦测率55.00%        sonar侦测率72.50%，我可以理解为总拦截率为55%+45%*72.5%=87.625% 吗     还有，那启发的6个算在哪个里面啊？

小林制药

回复 181楼 atg 的帖子

多重嵌套至少是我已经不止一次的说过了，之前一位兄台对“组建联动”做了很准确的解释，你可以看看。
查杀低直指静态扫描，但是不代表我们不知道SONAR也会漏。
回滚的问题是要分地方的，比如说清除某些病毒会走流程，而在内存中实现的过程则与沙箱有些类似——在最终写盘之前程序的执行过程都可以推倒重来。

之所以这么说你，是因为阁下一直在片面地强调“对样本的查杀率”（这是唯查杀率的表现之一），总是把常规情况下概率很低的事情抬出来来论证诺顿软件比较钝——如果你说的把文件替换了，那所有的杀软都会束手无策，都不用替换系统文件，加驱了基本上就能为所欲为了，要是总论证这种必杀技的话，那么杀毒软件存在的意义也就不存在了——HIPS都有被突破的可能，何况杀软？

另外，回滚不见其都是中了毒才回滚操作的。

说个典型的流程吧。某病毒利用漏洞传播，被IPS检测到了，漏洞被拦截。如果漏进来了(比如以很罕见的方式利用漏洞)，被特征码发现了，IPS启动，阻止进一步的入侵，Eraser开始清毒。再如果，特征码也漏了，Sonar发现问题，回滚操作并且激活IPS，同时启动Eraser，并且主动提取特征，上报。再者说，在检查可执行文件的行为的时候，不止有特征码在扫描，Sonar，IPS等等，都在以特定的方式同步进行检查和判断。所以说它防护是嵌套式的，相互覆盖的，并且值得相信。

我的心态应该没啥问题，至少诺顿不给我钱。事实就摆在眼前了，好多人都告诉你防御原理，和为什么说它防御好了，可是一说阁下就拿对样本的查杀率说事，无论大家怎么讲，阁下就抱定了“抓不到耗子的就不是好猫”（即使猫把耗子撵走了），那么还要怎么讲？

说个题外话，亏阁下来的是这，要是去了什么什么区，一准变口水。
我不是高手，但平心而论也不是小白，我起步是在DOS5.0和Win3.11走起的，所以我想应该还有说话的资本。

具体说到诺顿的防护，短期内是测不出来的，只能靠你用，边用边对比。技术层面上的原因已经说过了，还有很多还是需要使用者慢慢发现的。

防御能力也好，查杀率也罢。拿到日常环境里用，你会发现，并不像卡饭测试中表现得那样可怜，当然，蓄意破坏除外。

不早了，我也该睡了，阁下愿意讨论的话就改日吧，建议阁下也早点休息，晚安~
呵~欠~

klinxun

回复 184楼 atg 的帖子

貌似不包括snoar。snoar测试是双击扫描后剩余样本吧？

wjcharles

atg 发表于 2010-10-24 01:44
回复 175楼 小林制药 的帖子

"多重嵌套式防御组件这样的设计在任何一个环节上如果出现问题都可以对危害进行 ...

我就碰到过系统文件被替换。。。http://bbs.kafan.cn/thread-734631-1-1.html

那次是手痒，实机试毒搞的，但nis显然没有让病毒完整运行，把病毒对系统的影响减至最低，只剩下了病毒最底层的TDSS模块（应该还不完整），上层的用来实现恶意行为的部分不见了，被nis某些模块阻止了，这就是交叉保护的好处
ps.TDSS有多牛，可以看看这个http://bbs.kafan.cn/thread-790413-1-1.html

另外，sonar实际包含了特征码，因此扫描报道sonar肯定报，不信可以去看nis测试首页的剩余文件截图

小林制药

回复 187楼 wjcharles 的帖子

对啊，我说的就是SONAR是个复杂的复合式分析系统，里面有特征码，阈值法，行为分析，分类器，云……等等等等……兄台说的也是我相信诺顿的原因——别人被过了就全完了，而诺顿，即使被过，损失一般也不会太惨

呵~欠~不行了，真的关机了~

klinxun

回复 181楼 atg 的帖子

小弟小白一个来说说。我不知道诺顿具体啥技术，不过我知道诺顿能够尽可能修复病毒对电脑造成的不良影响，或者就是靠那种回滚技术吧。小弟试过中过木马被sonar拦住，注册表之类是回滚得不错的，不用自己动手的，病毒替换系统文件这个就未中招过了，不好评论。sonar测试应该是，扫描测试后，双击剩余样本吧？我也不知道。不过在大学一年多了，u盘插来插去和内网平台之类下，觉得用诺顿有点不尽人意，本地化要加强啊。卡巴倒是给力些，不过办公用途的话，诺顿很不错吧。

jianying

新手进来说几句：
我大概明白楼主的意思，诺顿也有缺点，希望版区的老鸟们可以中肯评价，不要给新人造成错觉，有什么问题就一句智能防御好。是吗？
技术问题大家说说也有好处，但不需要一定是像中日对话一样国家主权的，就让厂家们自己论吧。